龙空技术网

“你的文件已被加密”,解读源代码遭泄露的MedusaLocker勒索病毒

网络攻防 93

前言:

现时我们对“windows 卷影副本 被加密”都比较着重,各位老铁们都想要知道一些“windows 卷影副本 被加密”的相关知识。那么小编也在网络上网罗了一些有关“windows 卷影副本 被加密””的相关内容,希望咱们能喜欢,各位老铁们一起来了解一下吧!

在2019年10月,一种名为“MedusaLocker”的勒索病毒在国外安全圈被炒得沸沸扬扬,原因是该病毒的源代码不知怎么就泄露了出来,甚至还包括一个在当时正处于开发中的Debug版本。

技术分析

MedusaLocker具有勒索病毒的典型特征。在执行时,它会将自身复制到“%APPDATA%\Roaming\”目录。

为了实现长久驻留,它会在Windows中创建计划任务以执行PE32(PE32在执行之前存储在“%APPDATA%\Roaming”中)。

计划任务被配置为在初始感染后每15分钟执行一次,以便能够对后续新创建的文件进行加密。

MedusaLocker被配置为遍历所有可能存在的磁盘分区,目的是加密尽可能多的文件,以换取更高的赎金。

文件在被加密后,将被额外添加一个新的扩展名——“.encrypted”。

一个被命名为“HOW_TO_RECOVER_DATA”的赎金票据将出现在每一个目录中,以提示受害者支付赎金。

需要注意的是,赎金票据并非固定不变,你可能还会看到这样的版本:

为了阻止受害者恢复文件,MedusaLocker还被配置为能够使用Windows操作系统中内置的“vssadmin”实用程序来删除卷影副本。

尤为需要注意的是,MedusaLocker还可以执行ICMP扫描以识别同一网络下的其他主机,以加密任何可以找到的文件,进一步提高赎金金额。

安全建议

电子邮件是包括MedusaLocker在内的大多数恶意软件的主要传播媒介之一,因此养成良好的电子邮件使用习惯尤为重要。与之相对应的,是定期对员工进行网络钓鱼相关知识培训。

此外,定期对系统和软件进行更新同样不容忽视,因为任何漏洞都可能成为网络入侵的突破口,而一款可靠的端点安全软件在这方面可以给予我们很大的帮助。

标签: #windows 卷影副本 被加密